Útmutató a GDPR-ra való felkészüléshez jogi szempontból
2018. május 25-től alkalmazandó lesz az új Európai Uniós általános adatvédelmi rendelet (GDPR), amely jelentős újításokat fog hozni a szabályozásban, melynek hatása lesz szinte valamennyi Eu-s vonatkozású adatkezelésre. Jelen cikk célja a GDPR-hoz kapcsolódó legfontosabb változások és az új szabályoknak való megfeleléshez szükséges felkészülési javaslatok bemutatása, elsősorban KKV-k számára.
1. A GDPR háttere
A technológia fejlődésével a személyes adatok kezelésének folyamata a XXI. századra felgyorsult és sokkal szerteágazóbb lett, mint korábban. Az embereknek több lehetőségük van különféle szolgáltatásokat gyorsabban és hatékonyabban igénybe venni, ugyanakkor személyes adataiknak biztonsága a mindennapokban nagyobb veszélynek van kitéve, a jogellenes adatkezelés rendkívül súlyos következményekhez, visszaélésekhez vezethet.
Ezek megelőzése végett az Eu többek között a területileg egységes adatvédelmi szabályozás bevezetése, az unió állampolgárainak adatvédelmi tudatossága, érzékeny személyi csoportok (pl. gyermekek) védelme, illetve a jogsértések megelőzése céljából döntött úgy, hogy 2016-ban megalkotja az új – jelenkor elvárásaihoz igazodó, a technológiai követelményeknek megfelelő – általános adatvédelmi rendeletet, melynek kötelező alkalmazásának időpontja 2018. május vége.
A reform komolyságát tükrözi, hogy a joganyagot az Eu jogalkotása rendeleti szintre emelte; ennek jelentősége abban áll, hogy a GDPR normaszövegének egésze valamennyi tagállam számára 2018 májusától közvetlenül alkalmazandó lesz, tehát a benne szereplő szabályoktól nem lehet eltérni, kivéve, ha azt a rendelet külön megengedi. Korábban az Eu adatvédelmi előírásainak legfőbb jogszabálya egy 1995-ös irányelv volt; az irányelvek jellemzője, hogy – ellentétben a rendelettel – nem közvetlenül alkalmazandó, csupán keretszerűen meghatározza egy adott szabályösszesség rendszerét, melyet a tagállamoknak – nem feltétlenül azonos szövegezéssel – be kell ültetniük (implementálniuk) saját jogszabályi környezetükbe.
2. A GDPR szerkezete
Az összesen 99. cikkből álló rendelet a következő módon épül fel:
- Általános rendelkezések (tárgy, hatály, fogalmak)
- Elvek
- Az érintett jogai
- Átláthatóság és intézkedések
- Tájékoztatás és a személyes adatokhoz való hozzáférés
- Helyesbítés és törlés
- A tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben
- Korlátozások
- Az adatkezelő és az adatfeldolgozó
- Általános kötelezettségek
- Adatbiztonság
- Adatvédelmi hatásvizsgálat és előzetes konzultáció
- Adatvédelmi tisztviselő
- Magatartási kódexek és tanúsítás
- A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása
- Független felügyeleti hatóságok
- Független jogállás
- Illetékesség, feladatok és hatáskörök
- Együttműködés és egységesség
- Együttműködés
- Egységesség
- Európai adatvédelmi testület
- Jogorvoslat, felelősség és szankciók
- Az adatkezelés különös eseteire vonatkozó rendelkezések
- Felhatalmazáson alapuló jogi aktusok és végrehajtási jogi aktusok
3. Kiket érint, mik a legfontosabb koncepcionális változások?
Az Európai Bizottság honlapján közzétett egy rövid folyamatábrát, amely közérthető módon tájékoztat néhány változásról, emellett a Nemzeti Adatvédelmi-és Információszabadság Hatóság honlapján is találhatóak általános iránymutatások a reformmal kapcsolatban.
3.1 Területi alkalmazhatóság kiterjesztése
A GDPR hatálya kiterjed minden Unió területén belül tevékenységi hellyel rendelkező adatkezelő, illetve adatfeldolgozó személyes adatok kezelésével kapcsolatos tevékenységére, valamint azokra az adatkezelésekre, amik az Unióban tartózkodó érintetteknek nyújtandó szolgáltatásra, vagy viselkedésének megfigyeléséhez kapcsolódnak akkor is, ha maga az adatkezelő nem rendelkezik tevékenységi hellyel az Unióban.
3.2. KKV-k
A KKV-k is adatkezelőknek minősülnek, így a Rendelet rájuk is kiterjed. A legújabb kutatások szerint ezeknek a vállalkozások alacsony az adatvédelmi tudatossága, valamint sokuk nem feltétlenül tudnák finanszírozni a GDPR-nek való megfelelőség biztosítását. Ezek ellensúlyozására a Rendelet különféle könnyítéseket fogalmazott meg a 250 főnél kevesebb főt foglalkoztató vállalkozások számára, így meghatározott feltételek fennállása esetén nem kell adatkezelési tevékenységeiket nyilvántartani, illetve a kiemelésre kerül, hogy a magatartási kódexekre és az adatvédelmi tanúsítványokra vonatkozó szabályok alkalmazása során figyelembe kell venni a KKV-k sajátos igényeit.
3.3. Munkáltatók
A munkavállalói személyes adatok kezelése mindig egy érzékeny terület, így a GDPR alkalmazásával érdemes lesz felülvizsgálni a munkahelyi adatkezelési gyakorlatot. A legnagyobb újítás az adatkezelési jogcímek kibővítése, amelynek alapján a személyes adatok nemcsak a munkavállalók hozzájárulása, hanem a munkáltató jogos érdeke alapján kezelhetőek. Korábban elegendő volt például tájékoztatni a munkavállalókat a munkahelyi kameráról, mint ellenőrzési eszközről, 2018 májusától a munkáltatóknak el kell végezniük az érdekmérlegelési tesztet, melyben részletesen le kell írni és dokumentálni a kamerás megfigyelés szükségességét.
3.4. Elszámoltathatóság elve
A GDPR „szuper alapelvének” aposztrofált elszámoltathatóság elvének lényege, hogy nem elegendő az adatkezelés jogszerűsége, olyannak is kell látszania. Ez azt jelenti, hogy a felügyeleti hatóság kérésére az adatkezelőnek bizonyítania kell, hogy tevékenysége megfelel a Rendelet előírásainak. Ez tulajdonképpen a hatósági eljárásban a bizonyítási teher megfordítása, mert korábban az ellenőrző hatóságnak kellett bizonyítania az adatkezelő gyakorlatának szabálytalanságát.
3.5. Adatvédelmi hatásvizsgálat, adatvédelmi tisztviselő
Az adatvédelmi hatásvizsgálat a magyar jogban egy idáig nem ismert eljárás, míg az adatvédelmi tisztviselő a belső adatvédelmi felelős pozícióját felváltó, új követelményeket magába foglaló tisztség. Ezekkel a jogintézményekkel kapcsolatban társszerzőként írtunk egy cikket.
4. Hogyan érdemes felkészülni?
Fontos tisztázni, hogy a GDPR-ra nem úgy kell tekinteni, mint egy indokolatlanul szigorú regionális jogszabályra. A Rendelet alapvetően a hosszú távú fejlődést és a kiszámíthatóságot igyekszik garantálni az adatvédelem területén. A GDPR nem egy jogi és informatikai szempontú átvizsgálással járó szükséges teher, hanem egy külön iparágként funkcionáló, a gazdálkodó szervezetek működését és szellemiségét megreformáló, központilag irányított megoldás. Ebből adódik, hogy azok az adatkezelők, akik ezt a célt megértik és hajlandóak is változtatni korábbi gyakorlatukon a fejlődés érdekében, meg fognak felelni a GDPR előírásainak.
A felkészülés azonban egy hosszú folyamat, ami ugyan kiadásokkal jár, de végső soron a befektetett energia meg fog térülni. Minden részletre kiterjedő átvizsgálás önállóan rendkívül megterhelő, ezért ajánlott komplex szolgáltatásokat (jogi, informatikai) nyújtó irodák segítségét igénybe venni.
Egyedi ügyre, GDPR megfelelőség biztosítására vagy tartós megbízásra kér ajánlatot? Szívesen állunk a rendelkezésére!
dr. Dobos István ügyvéd / Miklós Péter Ákos
E: dobos@doboslegal.eu
T: +36303088151
A témában egy általános áttekintés is olvasható a GDPR-ról az ügyvédi társulásunk honlapján, illetve külön cikkben elemezzük, miért is kell foglalkozni a GDPR rendelettel.